Dmitry Yuryevich Khoroshev, de 31 años, nacido en Rusia, alias LockBitSupp. El FBI y las fuerzas de seguridad de Reino Unido y Australia han señalado este martes a este ciudadano ruso como el presunto líder de LockBit, el grupo de ciberdelincuentes más peligroso del mundo. La organización, especializada en los ataques de ransomware o secuestro de archivos, tiene unas 2.500 víctimas confirmadas en todo el mundo. Entre ellas están varias multinacionales españolas o el Ayuntamiento de Sevilla.
Se calcula que LockBit ha conseguido más de 500 millones de dólares a través del cobro de rescates y extorsionando a sus víctimas para no publicar los datos confidenciales robados. Los expertos en ciberseguridad llevaban desde 2020 intentando desentrañar quién estaba detrás del usuario LockBitSupp, pero hasta ahora seguía siendo un misterio.
Sin embargo, una operación internacional puso a LockBit en jaque por primera vez el pasado febrero. Las fuerzas de seguridad consiguieron hacerse con el control de parte de la infraestructura que la banda utilizaba para lanzar sus ataques, así como de su portal oficial en la web oscura. “Les hemos bloqueado”, celebró el jefe de la oficina contra el cibercrimen británica, que coordinó una acción en la que también participaron agentes de Francia, Japón, Suiza, Canadá, Australia, Suecia, Países Bajos, Finlandia y Alemania.
Sin embargo, a los dos días LockBit volvió a la acción y aseguró que la ofensiva apenas había causado daño a la organización. Desde entonces sus ataques no se han detenido.
Este martes los agentes vuelven a dar un golpe al grupo, publicando la identidad del cerebro de la organización y de un buen número de sus presuntos colaboradores. En el caso de Khoroshev, el Departamento de Estado de EEUU ha ofrecido una recompensa de 10 millones de dólares a quien ayude a dar con él.
Se han publicado también dos de sus correos electrónicos y las direcciones de sus monederos de criptomonedas, pero no sus datos biográficos o trayectoria anterior. “Como líder central del grupo LockBit y desarrollador del ransomware LockBit, Khoroshev ha desempeñado una variedad de funciones operativas y administrativas para el grupo de delitos cibernéticos y se ha beneficiado financieramente de los ataques”, explica el comunicado del Departamento de Estado.
LockBit opera con un modelo conocido como “ransomware como servicio”, en el que la organización otorga licencias de su software a ciberdelincuentes afiliados a cambio de un pago además de un porcentaje de los rescates recibidos. Opera como una auténtica multinacional, con enlaces en múltiples países y departamentos especializados en cada rama de su negocio: desarrollo, captación de talento o negociación con las víctimas.
Khoroshev sería la persona que gestiona toda esa estructura. “Facilitó la actualización de la infraestructura de LockBit, reclutó nuevos desarrolladores para el ransomware y gestionó las filiales de LockBit”, detalla el mismo comunicado.
Las fuerzas de seguridad involucradas en la operación de febrero contra LockBit también consideran a Khoroshev responsable de los esfuerzos de LockBit para continuar con sus ataques después de lograran tumbar parte de su infraestructura.
El grupo no ha tardado en reaccionar a la publicación de la identidad de su supuesto líder. Apenas una hora después, ha hecho pública la identidad de 16 nuevas víctimas a las que da una mes para negociar el rescate. Entre ellas se encuentran una de las principales compañías logísticas de Escandinava y un gran distribuidor de vehículos Mercedes-Benz en Alemania.